ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN. Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.
Soluciones para:
Para el hogar
Empresas pequeñas
Empresas medianas
Corporativo
Vulnerabilidades Amenazas
Inicio Vulnerabilidades

Múltiples vulnerabilidades en Microsoft Office

Kaspersky ID:
KLA10616
Fecha de detección:
12/09/2014
Actualizado:
07/05/2018

Descripción

Se han encontrado múltiples vulnerabilidades serias en los productos de Microsoft Office. Los usuarios malintencionados pueden explotar estas vulnerabilidades para ejecutar código arbitrario, causar denegación de servicio, pérdida de integridad, omisión de seguridad, escalada de privilegios y obtener información confidencial.

A continuación hay una lista completa de vulnerabilidades

  1. Microsoft Office maneja incorrectamente objetos en la memoria al analizar archivos de Office diseñados que pueden conducir a la ejecución de código arbitrario en el contexto del usuario actual. Si el usuario actual tiene derechos administrativos de usuario, los usuarios malintencionados podrían tomar el control total del sistema. Los usuarios que tienen menos derechos de usuario podrían verse menos afectados.
  2. La vulnerabilidad en el componente Microsoft IME (japonés) puede llevar a obtener acceso al sistema afectado con derechos de usuario conectados. Si el usuario actual tiene derechos administrativos de usuario, los usuarios malintencionados podrían tomar el control total del sistema. Los usuarios que tienen menos derechos de usuario podrían verse menos afectados.
  3. La biblioteca de controles comunes de MSCOMCTL no implementa ASLR correctamente, lo que puede derivar en eludir la función de seguridad ASLR a través del sitio web creado. Esta vulnerabilidad también conocida como "vulnerabilidad MSCOMCTL ASLR".
  4. Microsoft Office no maneja adecuadamente una respuesta elaborada al abrir un documento de Office a través del sitio web, lo que puede conducir a la obtención de información token sensible. Esta información se puede utilizar para autenticar al usuario actual en un servicio en línea de Microsoft específico. Esta vulnerabilidad también conocida como "Vulnerabilidad de reutilización de testigos".
  5. Una vulnerabilidad en la biblioteca de Microsoft Publisher pubconv.dll puede llevar a la ejecución de código arbitrario como el usuario actual a través de archivos elaborados con la extensión '.pub'. Esta vulnerabilidad también conocida como "vulnerabilidad de desreferencia de puntero arbitrario".
  6. Microsoft Office ha asignado memoria incorrectamente al convertir archivos especialmente diseñados a un formato más nuevo que puede llevar a la ejecución de código arbitrario. Si el usuario actual tiene derechos administrativos de usuario, los usuarios malintencionados podrían tomar el control total del sistema. Los usuarios que tienen menos derechos de usuario podrían verse menos afectados.
  7. Microsoft Word tiene una vulnerabilidad de desbordamiento del buffer de pila al abrir documentos especialmente diseñados. Esta vulnerabilidad puede llevar a la ejecución de código arbitrario como el usuario actual. Si el usuario actual tiene derechos administrativos de usuario, los usuarios malintencionados podrían tomar el control total del sistema. Los usuarios que tienen menos derechos de usuario podrían verse menos afectados. Esta vulnerabilidad también conocida como "vulnerabilidad de desbordamiento de pila de Microsoft Word".
  8. Microsoft Word tiene vulnerabilidad de ejecución remota de código mientras analiza datos RTF especialmente diseñados. Esta vulnerabilidad puede llevar a la ejecución de código arbitrario como el usuario actual. Si el usuario actual tiene derechos administrativos de usuario, los usuarios malintencionados podrían tomar el control total del sistema.
  9. Microsoft Office tiene una vulnerabilidad de ejecución remota de código al abrir un documento de Office. Esta vulnerabilidad puede llevar a la ejecución de código arbitrario y a la denegación de servicio. Además, los usuarios malintencionados pueden obtener acceso al sistema afectado con derechos de usuario conectados. Si el usuario actual tiene derechos administrativos de usuario, los usuarios malintencionados podrían tomar el control total del sistema. Los usuarios que tienen menos derechos de usuario podrían verse menos afectados. Esta vulnerabilidad también conocida como "Vulnerabilidad de daños en la memoria de Word".
  10. Microsoft OneNote tiene vulnerabilidad de ejecución remota de código al abrir un archivo OneNote elaborado. Esta vulnerabilidad puede llevar a la ejecución de código arbitrario como el usuario actual. Si el usuario actual tiene derechos administrativos de usuario, los usuarios malintencionados podrían tomar el control total del sistema. Los usuarios que tienen menos derechos de usuario podrían verse menos afectados. Esta vulnerabilidad también conocida como "vulnerabilidad de ejecución remota de código de OneNote".
  11. Una vulnerabilidad en la biblioteca usp.dll del procesador de scripts Unicode puede llevar a la ejecución de código arbitrario o a la denegación de servicio. Además, los usuarios malintencionados pueden tomar el control total del sistema. Esta vulnerabilidad también conocida como "Vulnerabilidad del procesador de scripts Unicode".
  12. Vulnerabilidad en GDI + que puede llevar a la ejecución de código arbitrario a través de un archivo de imagen creado. Además, los usuarios malintencionados pueden tomar el control total del sistema. Esta vulnerabilidad también conocida como "vulnerabilidad de análisis de imágenes GDI +".

Notas informativas originales

Lista CVE

Lista KB

Leer más

Conozca las estadísticas de las vulnerabilidades que se propagan en su región statistics.securelist.com

¿Has encontrado algún error en la descripción de esta vulnerabilidad? ¡Háznoslo saber!
Nuevo Kaspersky
¡Su vida digital merece una protección completa!
Leer más
Kaspersky Next:
ciberseguridad redefinida
Leer más
Related articles
11 July 2024
Securelist
Cómo el phishing selectivo se convierte en phishing masivo
27 June 2024
Securelist
Ciberseguridad en las pymes: necesaria ante las crecientes amenazas
24 June 2024
Securelist
El backdoor XZ: Análisis del hook
24 June 2024
Securelist
Análisis de la solidez de las contraseñas de los usuarios
10 June 2024
Securelist
Cómo burlar la autenticación de doble factor con phishing y bots OTP
03 June 2024
Securelist
Evolución de las amenazas informáticas en el primer trimestre de 2024. Estadísticas de amenazas móviles
¿Has encontrado algún error en la descripción de esta vulnerabilidad?
Si has encontrado una nueva amenaza o vulnerabilidad, por favor infórmanos por email:
newvirus@kaspersky.com
¿Has encontrado una nueva amenaza o vulnerabilidad?
Si has encontrado una nueva amenaza o vulnerabilidad, por favor infórmanos por email:
newvirus@kaspersky.com
Soluciones para
Para el hogar
Empresas pequeñas
Empresas medianas
Corporativo
Select language
Sorting
Kaspersky ID
Vulnerabilidad
Detect date
Nivel de gravedad
Confirm changes?
Your message has been sent successfully.